Wie Sie sich gegen MFA-Ermüdungsangriffe verteidigen: AD-Sicherheit 101

Ein MFA-Fatigue-Angriff - auch bekannt als MFA-Bombing - ist eine Angriffstaktik, -technik und -prozedur (TTP), bei der ein Angreifer Benutzer mit Anfragen zur Multifaktor-Authentifizierung (MFA) überflutet. Indem sie den Benutzer überwältigen, verwirren oder ablenken, damit er einer betrügerischen Anfrage zustimmt, hoffen die Angreifer, Zugang zu Ihrer Netzwerkumgebung zu erhalten.

Microsoft hat kürzlich festgestellt, dass bis Mitte des Jahres 2023 fast 6.000 MFA-Müdigkeitsversuche pro Tag beobachtet wurden. Zu lernen, wie diese Angriffe aussehen und wie man sich dagegen verteidigt, ist ein kluger Schachzug.

Was ist MFA?

Multifaktor-Authentifizierung (MFA) ist eine Sicherheitsmaßnahme, bei der Benutzer zwei oder mehr verschiedene Arten der Identifizierung angeben müssen, um auf ein Konto oder System zuzugreifen. Dieser Ansatz erhöht die Sicherheit: Selbst wenn ein Authentifizierungsfaktor kompromittiert wird, können die zusätzlichen Faktoren einen unbefugten Zugriff verhindern.

Was ist MFA-Müdigkeit?

Die meisten Benutzer verstehen den Wert von MFA. Aber viele sind der zahlreichen Push-Benachrichtigungen überdrüssig, die den modernen Arbeitsalltag ausmachen. MFA-Müdigkeit tritt auf, wenn die Benutzer von den Benachrichtigungen so überwältigt sind, dass sie ihnen nicht mehr ihre volle Aufmerksamkeit schenken.

Ein MFA-Müdigkeitsangriff ist kein direkter Weg zur Umgehung von MFA. Vielmehr nutzt dieser TTP menschliche Fehler und Müdigkeit während des MFA-Prozesses aus. Der Ansatz nutzt das Vertrauen, das die Benutzer in MFA setzen, und ihre daraus resultierende Erwartung, dass jede MFA-Aufforderung eine legitime Anfrage ist.

Oft erwartet der Angreifer, dass der Benutzer eine betrügerische Anfrage inmitten einer Flut von legitimen Anfragen genehmigt. MFA-Müdigkeitsangriffe machen deutlich, wie wichtig es ist, nicht nur eine MFA einzurichten, sondern auch die Benutzer darin zu schulen, bei den MFA-Anfragen, die sie genehmigen, vorsichtig und kritisch zu sein.

Die Gefahr von MFA-Müdigkeitsattacken

Angriffe auf die MFA-Müdigkeit sind zwar oft subtil in der Ausführung, haben aber tiefgreifende Auswirkungen auf die Sicherheit und die Vertrauensdynamik innerhalb Ihrer Organisation. Diese Angriffe bedrohen nicht nur direkt Ihre digitale Sicherheit, sondern wirken sich auch negativ auf das Vertrauen und den mentalen Zustand der Benutzer aus.

Hier sind einige mögliche Folgen eines MFA-Müdigkeitsangriffs.

• Unbefugter Zugriff: Eine unmittelbare Gefahr der MFA-Bombardierung ist eine mögliche Verletzung sicherer Ressourcen. Angenommen, ein Benutzer genehmigt versehentlich eine betrügerische MFA-Anfrage. Angreifer können diese Lücke ausnutzen, um unbefugten Zugriff auf sensible Daten, Systeme oder Anwendungen zu erhalten. Ein erfolgreicher MFA-Müdigkeitsangriff gefährdet nicht nur die geschützten Informationen Ihres Unternehmens, sondern kann auch rechtliche und finanzielle Auswirkungen haben.
• Denial of Service: MFA wird in erster Linie als eine Sicherheitsmaßnahme zum Schutz des Zugriffs wahrgenommen. Ironischerweise kann ein MFA-Bombardement diesen Prozess ausnutzen, um den Zugang zu verweigern. Indem sie das System mit einer Vielzahl von MFA-Anfragen überschwemmen, können Angreifer eine Blockade verursachen, die legitime Benutzer am Zugriff auf ihre Konten hindert. Ein solches Szenario kann besonders schädlich sein, wenn zeitkritische Vorgänge oder wichtige Geschäftsprozesse unterbrochen werden.
• Erosion des Vertrauens: Die vielleicht heimtückischste Auswirkung des MFA-Bombardements ist seine langfristige Wirkung auf die Wahrnehmung und das Vertrauen der Benutzer. Jede falsche oder unnötige MFA-Anfrage erinnert an die Anfälligkeit des Systems. Im Laufe der Zeit und bei häufigen Fehlalarmen könnten die Benutzer anfangen, an der Wirksamkeit des MFA-Systems zu zweifeln. Dieses verringerte Vertrauen kann zu Selbstzufriedenheit führen und die Benutzer noch anfälliger für zukünftige MFA-Müdigkeitsattacken machen. Wenn die Benutzer die MFA als ständige Quelle von Unterbrechungen und Verwirrung und nicht als wesentliche Sicherheitsmaßnahme betrachten, könnten sie außerdem eher dazu neigen, sie zu umgehen oder sich ihr zu widersetzen.

Wie funktioniert ein MFA-Ermüdungsangriff?

Wenn Sie die Mechanismen verstehen, die die Angreifer einsetzen - von trügerischen Phishing-Kampagnen bis hin zu strategisch getimten Versuchen - können sich Sicherheitsteams besser auf diese heimtückischen Bedrohungen vorbereiten und sie abwehren.

• Phishing-basierte Initiierung: Der Angreifer beginnt mit dem Versand von Phishing-E-Mails, um die primären Anmeldedaten des Benutzers abzufangen. Sobald der Angreifer diese Zugangsdaten hat, leitet er den MFA-Bombardierungsprozess ein.
• Schnelle Generierung von Anfragen: Mit automatisierten Tools oder Skripten feuert der Angreifer schnell mehrere Anmeldeversuche ab. Jeder Versuch löst eine MFA-Anfrage an den Benutzer aus. Ziel ist es, eine Flut von MFA-Anfragen und MFA-Müdigkeit zu erzeugen.
• Maskierte bösartige Anfragen: Unter die legitimen MFA-Anfragen, die sich aus den Anmeldeversuchen des Angreifers ergeben, kann der Angreifer bösartige MFA-Anfragen für ein anderes Konto oder einen anderen Dienst einstreuen. Der Angreifer hofft, dass der Benutzer in der Verwirrung die falsche Anfrage genehmigt.
• Timing: Der Angreifer kann den Angriff strategisch auf einen Zeitpunkt legen, zu dem der Benutzer abgelenkt sein könnte, z. B. zu Beginn eines Arbeitstages oder kurz nach der Mittagspause.

Beispiele für einen MFA-Ermüdungsangriff

MFA-Fatigue-Angriffe scheinen ein Favorit der Lapsus$-Angriffsgruppe zu sein, die den TTP 2022 gegen Uber eingesetzt hat. Auch Cisco war ein Ziel von MFA Fatigue, ebenso wie verschiedene Unternehmen und Regierungsorganisationen.

Wie könnte ein MFA-Angriff ablaufen? Betrachten Sie diese Beispiele.

• Überlastung durch Push-Benachrichtigungen: Ein Mitarbeiter verwendet eine mobile App für MFA, die Push-Benachrichtigungen zur Genehmigung sendet. Ein Angreifer, der die primären Anmeldedaten durch eine separate Phishing-Kampagne erhalten hat, startet eine Flut von Anmeldeversuchen. Das Telefon des Mitarbeiters wird mit Push-Benachrichtigungen überflutet. In der anschließenden Verwirrung genehmigt der Mitarbeiter versehentlich einen böswilligen Anmeldeversuch für ein sensibles System oder einen Datenspeicher.
• SMS-Code-Verwirrung: Ein Mitarbeiter erhält MFA-Codes per SMS. Ein Angreifer, der mit den primären Anmeldedaten des Mitarbeiters bewaffnet ist, startet den Anmeldevorgang mehrmals in schneller Folge. Das Telefon des Mitarbeiters wird mit SMS-Codes bombardiert, so dass es schwierig ist zu erkennen, welcher Code wirklich für eine legitime Aktion erforderlich ist, die er durchführen möchte. In diesem Chaos kann es passieren, dass er einen vom Angreifer gesendeten Code für eine bösartige Anmeldung verwendet.
• Legitime Dienstmaskierung: Ein Mitarbeiter nutzt mehrere Dienste, die sich alle auf dieselbe MFA-App zur Authentifizierung verlassen. Ein Angreifer initiiert mehrere Anmeldungen bei einem weniger wichtigen Dienst und überflutet die MFA-App mit Anfragen. Unter diesen Anfragen ist eine für einen sensibleren Dienst versteckt. Der überforderte Mitarbeiter genehmigt fälschlicherweise den Zugriff auf diesen wichtigen Dienst.

Kampf gegen die MFA-Müdigkeit

Im komplizierten Spiel der Cyberverteidigung erfordert das Verständnis und die Bekämpfung sich entwickelnder Bedrohungen eine Mischung aus Benutzerbewusstsein und robusten technologischen Sicherheitsvorkehrungen. Ziehen Sie diese Taktiken in Betracht, um MFA-Müdigkeitsangriffe abzuwehren.

• Nummernabgleich: Wenn eine MFA-Herausforderung einen Nummernabgleich erfordert, muss der Benutzer Einblick in die ursprüngliche Authentifizierungssitzung haben - was bei einem MFA-Ermüdungsangriff nicht möglich ist.
• Geolokalisierung: Die Angabe der Geolokalisierung, auch wenn sie ungenau ist, als Teil der MFA-Herausforderung bietet dem Benutzer mehr Kontext. Wenn ein Benutzer in Los Angeles eine Push-Anfrage mit der Geolocation Kopenhagen erhält, kann er erkennen, dass die Anfrage nicht echt ist.
• Benutzerschulung: Das menschliche Element ist nach wie vor einer der verwundbarsten Aspekte einer jeden Sicherheitsstrategie. Daher ist eine umfassende Benutzerschulung von größter Bedeutung. Dabei geht es nicht nur darum, die Benutzer mit dem Konzept der MFA-Müdigkeitsattacken vertraut zu machen, sondern auch darum, ihnen eine gewisse Vorsicht beizubringen. Regelmäßige Workshops, simulierte Angriffe und konsequente Erinnerungshilfen können den Benutzern helfen, verdächtige Aktivitäten zu erkennen. Indem Sie den Kontext jeder MFA-Anfrage überprüfen, können Ihre Mitarbeiter die Wahrscheinlichkeit, dass sie fälschlicherweise Zugriff gewähren, erheblich verringern.
• Ratenbegrenzung: Eine der effektivsten technischen Gegenmaßnahmen ist die Ratenbegrenzung. Indem Sie einen Schwellenwert für die Anzahl der zulässigen MFA-Anfragen innerhalb eines bestimmten Zeitraums festlegen, reduzieren Sie die Möglichkeiten der Angreifer, Benutzer mit Benachrichtigungen zu überfluten, erheblich. Dieser Ansatz erschwert es Angreifern nicht nur, das Ziel zu verwirren, sondern bietet auch eine Schutzschicht gegen potenzielle Brute-Force-Angriffe.
• Protokollierung und Überwachung: Die kontinuierliche und gründliche Protokollierung von Authentifizierungsversuchen erfüllt einen doppelten Zweck. Erstens können Unternehmen durch die Führung einer detaillierten Aufzeichnung nachträgliche Analysen durchführen, um Schwachstellen zu verstehen und zu beheben. Zweitens können Echtzeit-Überwachungstools diese Protokolle auswerten und mithilfe von maschinellem Lernen oder heuristischer Analyse Muster erkennen, die auf einen MFA-Müdigkeitsangriff hindeuten. Wenn solche Muster auftauchen, können automatische Warnungen die Sicherheitsteams benachrichtigen, um weitere Untersuchungen durchzuführen.
• Feedback-Mechanismus: Es kann unglaublich effektiv sein, die Benutzer zu befähigen, ein aktiver Teil der Verteidigungsstrategie zu sein. Durch die Einrichtung eines einfach zu bedienenden Feedback-Mechanismus können Benutzer verdächtige MFA-Aufforderungen oder andere Anomalien schnell melden. Diese Möglichkeit hilft nicht nur den IT-Teams, sofortige Warnungen über potenzielle Bedrohungen zu erhalten, sondern fördert auch eine sicherheitsbewusste Kultur, in der sich jeder Einzelne für den Schutz digitaler Ressourcen verantwortlich fühlt.

Die MFA-Müdigkeit besiegen

Die Bombardierung von MFA stellt eine vielschichtige Herausforderung dar, bei der die technologischen Fortschritte der Sicherheit den Schwachstellen des menschlichen Verhaltens gegenüberstehen. Durch Taktiken wie Phishing, die schnelle Generierung von Anfragen und maskierte bösartige Anfragen haben Angreifer ein Tool, das die Benutzer schützen soll, zur Waffe gemacht.

MFA ist nach wie vor ein robuster Schutzmechanismus, aber seine Wirksamkeit kann beeinträchtigt werden, wenn die Benutzer überfordert sind oder nicht ausreichend geschult wurden. Der Schlüssel zur Bekämpfung der MFA-Müdigkeit liegt nicht nur in technischen Gegenmaßnahmen, sondern auch in der Schulung und Befähigung der Benutzer.

Durch die Kombination von Sensibilisierung mit proaktiven Schutzmaßnahmen wie Ratenbegrenzung und Feedback-Mechanismen können Unternehmen die Unantastbarkeit ihrer Sicherheitssysteme aufrechterhalten und gleichzeitig die Benutzer vor Ausbeutung schützen. Achtsamkeit, Wachsamkeit und kontinuierliche Anpassung bleiben Ihre besten Verbündeten.